Un nuovo metodo di attribuzione ha aiutato Kaspersky Lab nell’identificazione di un false flag molto sofisticato.
Un nuovo metodo di attribuzione ha aiutato Kaspersky Lab nell’identificazione di un false flag molto sofisticato.
Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato i risultati delle ricerche effettuate sugli attacchi del malware Olympic Destroyer, fornendo prove tecniche di un false flag molto sofisticato posto all'interno del worm da parte del creatore del malware che permette di depistare i “cacciatori di minacce” dalla vera origine.
Il worm Olympic Destroyer ha fatto notizia ai Giochi olimpici invernali. Durante le Olimpiadi di Pyeongchang si è verificato un attacco informatico che ha paralizzato temporaneamente i sistemi IT prima della cerimonia ufficiale di apertura, spegnendo i monitor, eliminando il Wi-Fi e bloccando il sito web delle Olimpiadi in modo che i visitatori non fossero in grado di stampare i biglietti. Kaspersky Lab ha anche scoperto che diverse strutture di impianti sciistici della Corea del Sud hanno subito l’attacco da parte di questo worm, che ha disabilitato il funzionamento dei cancelli e degli impianti di risalita delle località. Sebbene l'impatto reale degli attacchi con questo malware fosse limitato, resta indiscussa la sua potenziale capacità d’essere devastante.
Tuttavia, il vero interesse per chi si occupa di sicurezza informatica non risiede nel potenziale o reale danno causato dagli attacchi del Destroyer, ma nell'origine del malware. Fino ad ora nessun altro malware ha avuto così tante ipotesi di attribuzione: nel giro di pochi giorni dalla sua scoperta, gruppi di ricerca di tutto il mondo hanno attribuito questo malware a Russia, Cina e Corea del Nord, basandosi su una serie di caratteristiche precedentemente attribuite al cyber-spionaggio e a sabotatori che si presumeva fossero basati in questi Paesi o che lavorassero per questi governi.
I ricercatori di Kaspersky Lab hanno cercato di capire quale gruppo di hacker fosse nascosto dietro questo malware e ad un certo punto sembrava che tutti gli indizi rimandassero al 100% a prove che collegavano il malware a Lazarus, un noto gruppo di hacker sostenuto dagli stati nazione e legato alla Corea del Nord.
Questa conclusione si è basata sull’unica traccia lasciata dagli aggressori. Una combinazione di alcune funzionalità nell'ambiente di sviluppo del codice memorizzato nei file che può essere utilizzata come "impronta digitale" e che, in alcuni casi, permette di identificare gli autori di malware ed i loro progetti. Nell'esempio analizzato da Kaspersky Lab, questa impronta digitale corrispondeva al 100% ai componenti malware di Lazarus precedentemente noti e non aveva nessun punto in comune con qualsiasi altro file dannoso o non, finora noto a Kaspersky Lab. Inoltre altre somiglianze nelle tattiche, tecniche e procedure (TTPs), ha portato i ricercatori alla conclusione preliminare che l'Olympic Destroyer fosse un'altra operazione di Lazarus. Tuttavia, alcune incongruenze con i TTPs di Lazarus scoperti dalla ricerca di Kaspersky Lab nella struttura compromessa in Corea del Sud hanno portato i ricercatori a riesaminare il raro artefatto.
In seguito ad un'attenta analisi delle prove e alla verifica di ciascuna caratteristica, i ricercatori hanno scoperto che l'insieme delle caratteristiche non corrispondeva al codice che, invece, era stato “forgiato” per adattarsi perfettamente all'impronta digitale usata da Lazarus.
Di conseguenza, i ricercatori hanno concluso che l’"impronta digitale" è un false flag molto sofisticato, intenzionalmente collocato all'interno del malware per dare ai “cacciatori di minacce” l'impressione di aver trovato prove schiaccianti evitando la sua attribuzione corretta.
"Le prove che siamo stati in grado di trovare non sono state utilizzate precedentemente per l'attribuzione. Eppure gli aggressori hanno deciso di usare il malware, prevedendo che qualcuno l’avrebbe trovato e contando sul fatto che la falsificazione di questo artefatto è molto difficile da dimostrare. È come se un criminale avesse rubato il DNA di qualcun altro e l'avesse lasciato sulla scena del crimine al posto del proprio, ma abbiamo scoperto e provato che tutto ciò è successo volutamente. Questo dimostra quanto i cyber criminali siano disposti ad investire per rimanere non identificati il piùa lungo possibile. Inoltre abbiamo sempre ribadito come sia difficile una corretta attribuzione nel cyberspazio poichémolte cose possono essere simulate, e l'Olympic Destroyer neèun esempio", ha affermato Vitaly Kamluk, Head of APAC Research Team di Kaspersky Lab.
"Un altro elemento molto importante da sottolineare è che l'attribuzione deve essere presa sul serio dato il modo in cui il cyberspazio è diventato sempre più politicizzato. L'attribuzione sbagliata potrebbe portare a gravi conseguenze e gli attori potrebbero iniziare a manipolare l'opinione della comunità di sicurezza per influenzare l'agenda geopolitica", ha aggiunto Kamluk.
L'attribuzione accurata dell’Olympic Destroyer è ancora una questione aperta − semplicemente perché è un esempio unico dell'implementazione di false flag molto sofisticate. Tuttavia, i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno utilizzato il servizio di protezione della privacy NordVPN e un hosting provider chiamato MonoVM, (che accettano entrambi i Bitcoin), oltre a TTPs scoperti e conosciuti per essere usati da Sofacy, attore di lingua russa.
I prodotti Kaspersky Lab rilevano e bloccano con successo il malware Olympic Destroyer.
Ulteriori informazioni sullo studio dei ricercatori di Kaspersky Lab sugli attacchi dell’Olympic Destroyer in Corea del Sud e in Europa sono disponibili nel blogpost Securelist.com